《学校网络系统规划与设计课件.ppt》由会员分享,可在线阅读,更多相关《学校网络系统规划与设计课件.ppt(68页珍藏版)》请在三一办公上搜索。
1、学校网络规划与设计,网络规划其实很难.,一个合格的网络设计师需要具备如下条件:精通TCP/IP协议族中数十个协议的原理.精通N家厂商的N百种设备的性能和配置.还要具备统筹学、经济学、哲学的基本思想.丰富的实践经验和组织协调能力.对网络中的新技术保持高度的敏感性.胆大心细、临危不乱的良好心里素质.,网络规划其实很简单.,瞎说!根本没那么恐怖:常用的协议不超过10个,了解大概就行.主流厂商只有几家,相同厂家的产品配置相同.很多网络的模型都十分相似,照猫画虎即可.不就是画几个框框、圈几个圈圈、连几根线么.,网络规划其实很崇高.,当你进行网络规划时,你与画“向日葵”的凡.高谱写“命运交响曲”的贝多芬唱
2、“我的太阳”的帕瓦罗帝设计“鸟巢”的安德鲁没什么区别,因为你们都是,艺术工作者!,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,网络规划基本原则,可靠性原则从设备本身(电信级可靠性)和网络拓扑(无单点故障)两方面考虑。可扩展性原则从设备性能(是否已达到满配),可升级的能力(是否可以通过平滑的软硬件升级支持未来的新业务和新特性)和IP地址、路由协议规划等方面考虑。可运营性原则仅仅提供IP级别的连通是远远不够的。网络是否能够提供丰富的业务,足够健壮的安全级别,对关键业务的QOS保证搭建网络的目的是真正能够给用户带来效益。可
3、管理原则提供灵活的网络管理平台,利用一个平台实现对系统中的各种类型设备进行统一管理;提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。,网络设计规划流程,设备选型,拓扑规划,板卡规划,物理连通,路由规划,IP地址规划,IP连通,VPN规划,QoS规划,策略路由,高级路由协议规划,业务隔离及关键业务确保带宽及流量控制,网络安全部署,网管规划,可运营可管理的安全网络,客户需求分析,需求分析,学校的情况 学校的规模和信息化发展的程度业务需求 分析应用系统及用户的种类和分布,确定网络带宽 明确各应用系统对网络可靠性和安全性的要求 分析对外业务交流以确定学校网络的出口结构组
4、织结构、院内楼宇和院系分布 分析学校内楼宇和院系分布情况,确定网络核心节点、汇聚节点 现有网络情况 了解现网拓扑结构、布线情况、设备情况、应用和用户基本信息、IP地址及VLAN规划、各设备间情况,以确定哪些基础设施可以利旧,保护前期投资内外网是否实施物理隔离 主要取决于学校的安全策略,设备选型需要参考的因素,可靠性该设备是否提供关键模块(电源、主控板)的冗余备份,具备何种级别的可靠性转发性能通常做如下考虑:通过某设备的流量(该设备满配最大流量)/2。业务支持能力除了普通的IP路由功能外,是否需要该设备支持诸如(NAT、各种VPN、策略路由)等业务属性。(CPU、ASIC、NP)端口支持是否能够
5、提供组网所需要的端口。扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。(CPU、ASIC、NP)价格因素在综合考虑以上因素的基础上选择适当的设备。只选对的,不选贵的。,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,网络拓扑层次设计,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,网络设计分三层:核心层、汇聚层、接入层,网络中常用的拓扑结构,星形或双星形常见于下层网络与上层之间的拓扑结构,主要的网络流量都在分支节点与核心节点之间发生,两个分支节点之间不通讯
6、或流量很少。,星型,双星型,网络中常用的拓扑结构,环形、网状或部分网状常见于同一层次(核心层或汇聚层)之间的设备互联,这些设备之间通常都是对等通信,或者这些设备之间需要确保互联而增加很多的冗余链路。,环型,网状,部分网状,网络中常用的拓扑结构,混合组网在同一个网络中,不同的层次之间通常采用不同的拓扑结构,通常核心层或汇聚层采用网状或部分网状相连,核心层与汇聚层或汇聚层与接入层之间采用星形或双星形相连。,根据具体需求选择网络层次和网络结构,小型网络可以使用二层组网模型,大型网络建议使用三层组网模型核心层根据网络规模选择单核心结构、双核心结构或网状结构根据学校内的具体情况,确定汇聚节点的位置和数量
7、根据不同区域的可靠性需求,选择到核心交换机的连接方式根据学校内服务器的数量,确定是否需要建设独立的数据中心根据外联需求,确定外联方案根据需求,部署无线局域网系统,分区域进行网络规划,VOD,信息管理中心,IP集合通信,数据中心,业务应用平台,外出专家,CIS,HIS,PACS,LIS,RIS,GMIS,VPN,专科分院,社区教育,教学楼,图书馆楼,宿舍,科研楼,行政楼,RPR/RRPP,高可靠性设备冗余链路冗余,主要应用无线查房远程探视重症监控,网络特点高带宽千兆到桌面主要系统PACS,主要应用远程示教安全防护WLAN,主要应用防火墙WLAN视频会议呼叫中心,医院系统拓扑结构,楼层接入交换机,
8、大楼汇聚节点交换机,挂号、急诊外科门诊收费处药库房,急救室手术室妇产科收费处,内科门诊检验中心超声诊疗中心收费处,中医科门诊耳鼻喉科门诊 口腔科门诊收费处,核医学科皮肤科眼科收费处,一层,二层,三层,四层,五层,医院核心网络路由交换机,校园楼层系统拓扑结构,楼层接入交换机,大楼汇聚节点交换机,一层,二层,三层,。,n层,学校核心网络路由交换机,AP,图书馆阅览室,AP,教师,操场,科研,网络中心,PACS系统拓扑结构,B超,CT,X光机,内窥镜,显示工作站,视频采集,图像采集,视频采集,图像采集,PACS服务器,千兆交换机,千兆交换机,存储,LAN,容灾备份,对外互联拓扑结构设计,核心交换机,
9、门诊中心,数字影像中心,住院中心,汇聚交换机,教育网,社区学校,社区学校,使用专门的路由器,通过专线连接医保网通过互联网,采用IPsec VPN或SSL VPN的方式连接社区学校,远程移动办公,路由器,防火墙,入侵防御,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,设备板卡规划,设备的板卡布局也需要规划?当然!原则是:不要把所有的鸡蛋放在同一个篮子里;如果有M个鸡蛋和N个篮子,尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量=M/N向上取整。当某台设备上同时存在高速及低速接口时,板卡布局时要充分考虑
10、到设备的性能。,MPLS骨干网,设备板卡规划,最佳方案,最差方案,设备命名规范sysname规划,为了保证以后的管理方便,通常需要为设备统一命名。可以采用以下命名方法:AA-B-YYYY-XAA:表示该设备所属的级别和名称,通常的规则是取汉字拼音的首字母缩写。例如:NN-南宁;也可以灵活运用大小写字母及增加后缀来表示不同级别的设备。ShaTB-沙田B:表示设备的厂商名称YYYY:表示设备型号X:表示如果前三项相同的设备,用字母编号A、B标识。,设备命名规范接口description规划,为了准确表明每个接口对端的连接保证以及带宽,需要为每一个使用的接口配置description描述信息。通常采
11、用以下命名方法:to 对端设备名 带宽,其中对端设备名使用前一节讲到的sysname规划方法。例子:description to ZD-H3-NE16E-2 8M表示:该端口对端设备中心备用NE16E路由器,带宽为8M。,设备命名规范接口命名,除了设备固定的接口之外,我们常常会手工创建一些接口,例如:MP接口,以太网子接口,VLAN接口等。对这些接口后面分配的数字应该尽量包含实际的意义。mpgroup A/B/C,接口的A表示槽位,B表示卡位,是固定的,C可以设置为能够包含对端设备信息的数字,例如对端设备loopback接口地址中明确区分自身信息的一位,或者是对端设备所属的OSPF区域号等等信
12、息。以太网子接口务必要将子接口数字与VLAN信息保持一致。VLAN接口的数字要全局统一规划,例如:使用100、200表示VPN的VLAN,使用1000表示网管的VLAN等。,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,目 录,STP协议简介,STP在二层交换网络中选择一个根桥作为全部二层交换网络的逻辑中心(Root Bridge)。STP为全网中每一个参与STP运算的交换机计算到达根桥的最短距离(Path Cost)。检测二层交换网络中存在的冗余链路,并把他们置于阻断/备份状态。检测拓扑结构的变化并根据情况计算新的生
13、成树。,STP/RSTP/MSTP的比较,STP的特性形成一棵无环路的树:解决广播风暴并实现冗余备份RSTP的特性形成一棵无环路的树:解决广播风暴并实现冗余备份快速收敛MSTP的特性形成一棵无环路的树:解决广播风暴并实现冗余备份快速收敛形成多棵生成树实现负载均衡,RSTP/STP规划设计原则,配置核心的设备为STP/RSTP的根桥,并指定另一核心的设备为备份根桥。全网的设备使用相同Path Cost标准。(802.1D,802.1T,legacy)RSTP以其快速收敛的特性以及与STP良好的兼容性完全取代了STP。对于支持RSTP的设备,一般情况下我们不考虑运行STP。,RSTP/STP规划设
14、计原则(续),对于支持RSTP的设备和仅支持STP的设备混用时,RSTP的设备尽量配置在网络的中心,而STP的设备尽量配置在网络的边缘。对于直接连接主机或服务器的数据终端设备的交换机端口应配置为边缘端口,并使能BPDU-Protection。Trunk链路应包括所有配置的VLAN(GVRP)。,MSTP规划设计原则,多生成树一定要运行在一个域内。域和域之间的生成树为单生成树,不能实现负载均担。同一域内的交换机的域名,VLAN和STP实例的对应关系一定要保持一致。不支持MSTP的交换机一定要放在域外。域内不同生成树的树根设置要与相应业务流量重心保持一致。,VLAN ID的规划原则,VLAN 1一
15、般予以保留,不分配给业务VLAN使用。VLAN ID的预分配应成段分配。如果VLAN ID足够用,尽量分配1024以下的VLAN ID。为每一个VLAN规划VLAN描述符。描述符的配置规范化。,VLAN的技术划分原则,基于端口的VLAN划分基于协议的VLAN划分基于IP子网的VLAN划分基于MAC地址划分基于组和策略划分,VLAN的管理划分原则,基于业务需求VLAN划分基于地域管理VLAN划分基于安全要求VLAN划分,VLAN规划的限制,VLAN总数不超过4096 解决方式:QinQ,Isolate-user-VLAN,No VLAN每个VLAN的主机数建议不超过64个 解决方式:划分多个VL
16、ANVLAN划分越多,就会占用更多地IP地址 解决方式:Super-VLAN,VLAN per Port,VRRP相关的设计考虑,虚拟网关的可探测性 VRRP PING enableVRRP的负载分担 不同的VRRP组设置不同的MasterVRRP的稳定性设计 抢占方式及延时设置,VRRP相关的设计考虑,安全性设计VRRP的可靠性 监控指定端口。VRRP的优先级设计 通常要满足:Priority(master)Priority(backup)Priority(master)-Priority(reduced),监控上行端口,接口地址:192.168.0.1/24,接口地址:192.168.0.
17、2/24,虚拟网关IP地址:192.168.0.254/24虚拟网关MAC地址:00-00-5E-00-01-VRID,DHCP相关的设计考虑,固定IP地址段与动态分配IP地址段保持连续。动态分配IP地址的租约一般定为2-4小时。DHCP需跨网段获得IP地址时,启动DHCP-RELAY功能。禁止在同一网络上放置两台DHCP服务器。启动DHCP安全功能,禁止未通过DHCP获得的IP地址上网。,链路聚合相关的设计考虑,在进行多个链路聚合设计时先要查询设备对链路聚合的支持规格。对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合。使用LACP自动聚合,要先将端口的参数配置成一致。,目 录,网络设计概述
18、网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,IP地址规划的重要性,IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准,直接看他的IP地址规划好了。,IP地址规划是一项艺术创造!,IP地址规划的基本原则,唯一性:一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术
19、,也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。,IP地址的分类loopback地址,loopback地址概述为了方便管理,会为每一台路由器创建一个loopback 接口,并在该接口上单独指定一个IP 地址
20、作为管理地址,管理员会使用该地址对路由器远程登录(telnet),该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。loopback地址规划技巧务必使用32位掩码的地址。最后一位是奇数的表示路由器,是偶数的表示交换机。越是核心的设备,loopback地址越小。,为什么核心设备要使用较小的loopback地址?,IP地址的分类互联地址,互联地址概述互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址规划技巧务必使用30位掩码的地址。核心设备,使用较小的一个地址(即:loopback地址较小的设备使用互联地址中较小的一个
21、)。互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。,IP地址的分类业务地址,业务地址概述业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。业务地址规划技巧所有的网关地址统一使用相同的末位数字,如:.254都是表示网关。,增加IP地址的分配方式和优劣对比?,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,路由协议的规划路由协议的选择,公欲善其事,必先利其器,不能让网络规划输在起跑线上!RIP最古老的路由协议,特点:性能低下,只适合在小型的网络中使用。IGRP在RIP的基础上稍加改进,
22、拥有RIP所有的缺点。EIGRP性能不错,但却是cisco的私有协议,互通性不好。而且容易引起法律纠纷。IS-ISISO与IETF帮派斗争的产物,本来是为OSI七层模型设计,后来强行移植到IP上。OSPF是因特网上使用最为广范的IGP,强力推荐。BGP是目前因特网上唯一的一种EGP协议。,静态路由设计原则,静态缺省路由的设计原则,Internet,Route 0.0.0.0 0.0.0.0 100.1.1.254,100.1.1.1/24,100.1.1.254/24,10.0.0.0/8,Route 10.0.0.0 255.0.0.0 100.1.1.1,静态路由设计原则,静态路由的备份与
23、负载分担方式ip route-static 11.1.1.0 255.255.255.0 11.2.2.1 preference?ip route-static 11.1.1.0 255.255.255.0 11.3.2.1 preference?,11.1.1.0/24,11.2.2.1/24,11.3.2.1/24,R1,R2,R3,R4,OSPF规划,router id的规划直接使用该设备的管理地址(loopback)作为router id,并且要确保该数字与ldp的lsr id相同。区域划分区域划分是OSPF规划中最核心也是最复杂的部分。OSPF的区域划分是与网络层次密切相关的,通常核
24、心层与汇聚层规划为区域0,汇聚层的设备规划为ABR,汇聚层与接入层之间规划为非骨干区域,非骨干区域尽量规划为NSSA区域。每个区域中的设备数量最好不要超过30台,这个数字不是绝对的,主要与设备性能,链路的稳定性密切相关。非骨干区域的规划可以与网络中实际的行政,地域划分相吻合。路由聚合规划在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理:骨干区域的路由也通常需要聚合后再发布到非骨干区域。在ASBR上可以对所有本地引入的路由聚合后再发布。聚合的地址范围是链路地址、业务地址,但通常不对loopback地址进行聚合。,OSPF规划COST及路由引入规划,OSPF的COST规划为确保路由器
25、选择最优路径,需要统一OSPF路由尺度(cost)的计算。通常的做法是:取网络中带宽的最大值为度量值1,其他类型的接口按与最大带宽的比例计算。例如:网络中最大带宽为GE。接口类型costGE1155M POS7100M FE1010M ETHERNET100NE1500/NLoopback接口的COST值通常取1。OSPF的路由引入规划OSPF可以引入直连、静态以及其他路由协议的路由。对于直连路由,如果条件允许,尽量使用network命令当作区域内路由发布,避免引入操作。对于静态和其他路由协议,引入时可以统一COST及路由类型,例如:cost为1000,type为1。如果引入BGP路由,需要考
26、虑路由表的规模,也可以使用缺省路由来避免引入。,OSPF规划Stub区域,Area 0,Stub Area,No LSA5,No External Route Update,Area 0,Not So Stub Area,No LSA5,RIP,BGP,External Route Update,OSPF规划NSSA区域,OSPF的NSSA区域是一种特殊的非骨干区域,由于具备一些特殊的属性而在实际的网络网络规划中经常使用。当一个非骨干区域中不希望接收大量的自治系统外路由时,可以将其配置为STUB属性,但由于STUB中苛刻的要求所有的设备都不能引入任何外部路由,导致其几乎无法使用。而NSSA无此
27、限制,所以可以放心使用。使用NSSA区域的另外一个优点:对于Type5类的LSA,由于OSPF只能在ASBR处将路由聚合,发布之后就没有再次聚合的机会了。而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作,实际上又多了一次宝贵的聚合机会。使用NSSA区域的局限性:由于协议规定,当一个NSSA区域中存在两个ABR时,只能由其中的一台(router id大的)进行type7到type5的转换操作。所以在实际使用中会受到一定的限制。,学校网络OSPF路由协议典型规划,核心交换机,教学中心,学生宿舍,科研中心,汇聚交换机,医保网,社区学校,社区学校,远程移动办公,路由器,防火墙,入
28、侵防御,OSPF AREA 0,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计,网络安全规划的基本原则,网络安全是一个复杂的体系结构,涉及到几乎全网中的任何设备以及任何层次。网络安全只是一个相对的概念,无论你付出多大的代价,都不存在绝对安全的网络。部署网络安全通常会带来副作用,例如:占用带宽,降低设备的处理能力,给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。,在接入层通过VLAN进行安全隔离,普通二层以太网网络中采用VLAN进行隔离。小区以太网接入应用中在接入层交换机上配置Isolate
29、-user-VLAN,禁止接入用户之间互访。建议在接入交换机接入端口配置广播抑制门限,1,2,3,4,在交换机上启用以下安全策略,核心层交换机,汇聚层交换机,汇聚设备启用以下安全特性:STP根保护和BPDU保护TC-BPDU报文处理机制OSPF/RIP路由认证SSH、SNMPv3Telnet终端限制,核心交换机,汇聚交换机,接入交换机,核心设备启用以下安全特性:OSPF/RIP路由认证SSH、SNMPv3、SFTPTelnet终端限制,二层接入设备启用以下安全特性:端口MAC地址数限制STP根保护和BPDU保护TC-BPDU报文处理机制SSH、SNMPv3Telnet终端限制,接入交换机,接入
30、交换机,接入交换机,严格的访问控制,在汇聚交换机与核心交换机上配置访问控制列表,限制不同部门之间的互访。在汇聚路由器和核心交换机上配置访问控制列表,封掉常见的病毒传播端口所有的网络设备必须配置super密码,telnet的口令及密码,并定期修改。telnet需要在VTY中设置访问列表,对无访问需求的源地址进行过滤。例如:在连接内外网的防火墙上禁止来自外网的telnet访问。,认证授权(WLAN接入),在WLAN中,当无法从物理上控制访问者的来源时,务必要使用相应的鉴权及认证手段进行识别服务:在AP上禁止ESSID广播MAC过滤对接入用户进行802.1x身份认证使用加密无线信道,认证授权(移动办
31、公用户),通过RADIUS实现AAA认证,可以对各种接入用户统一集中进行认证和授权采用TACACS协议代替RADIUS实现对验证报文主体全部进行加密支持对路由器上的配置实现分级授权使用,认证服务器,Modem 接入,ADSL 接入,LAN 接入,WLAN 接入,非军事区:DMZ de-militarized zone,用以隔离内部和外部网络内部网络只允许内部用户访问,DMZ区提供有条件的对外服务外部过滤器只允许外部流量进入,内部过滤器只允许内部流量进入DMZ从不启动与内部网络的连接当DMZ中的主机受到威胁时内部流量也不会受到监听、内部过滤器仍然受到保护,受保护服务器,受保护客户机,内部网络可信
32、任区,外部网络不可信任区,周边网络 DMZ区,WWW服务器MAIL服务器,入侵检测服务器漏洞扫描服务器,互联网接入服务器,互联网连接路由器,对外连接正常,无法直接向内连接,防火墙,Internet,利用防火墙进行安全分区,利用入侵防御进行应用层安全防护,攻击库,协议库,病毒库,综合防御,三库合一实现综合防御,现在的很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁,只有将攻击特征和病毒特征结合在一起进行检测,才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后,往往马上伴随着木马、病毒等恶意代码样本的下载,只有将攻击特征和病毒特征结合在一起,才能做到层层防御,确保安全。因为攻击是有特定的
33、协议上下文的,将应用层协议特征分析与攻击特征、病毒特征分析结合起来,可确保检测精度。,目 录,网络设计概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计其他的相关业务系统(DNS、DHCP、NTP),网管规划基本原则,哪些设备需要管理如果网络规模不大,可以管理全网所有的三层设备(包括部分支持三层访问功能的二层交换机)。如果网络规模很大,可以只选择比较重要的设备,但通常应该包含所有的路由器。网管设备如何与网络设备连接通常网管工作站直接与网络中最核心的设备相连,直接连接到该设备的以太网口或通过交换机与之相连。使用带内网管还是带外网管带内网管网管
34、的相关报文流量与网络中的数据流量等同对待。优点是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中断。通常都使用带内网管。带外网管即:为了网管流量而单独建立一套数据通道。优点是确保网管数据的绝对安全可靠和优先级,缺点是代价过于昂贵。几乎不会使用带外网管。网管设备的IP地址规划取出特定的一个网段,专门为网管工作站使用。该地址尽量固定,不要随意更改。,网管规划基本原则,RMON的使用是一种在网络设备侧的探针技术,根据事先定义好的数据组类型采集设备的告警、性能等信息,以MIB的形式储存在设备上,等待网管设备使用SNMP协议读取。本来是一种很好的思想和理念,但由于目前支持RMON技术的硬件芯
35、片很少,所有的报文都需要送交CPU处理,会严重影响设备的性能。所以,不推荐使用。选择SNMP的版本V1:SNMP的最早期版本,实现最基本的功能。V2c:增加了几种64位的数据类型以及RMON2的扩充。V3:在安全性方面做了较多的改进,对网管报文使用了MD5等一些加密算法,并且可以定义不同的用户视图,限制不同级别的用户可以访问的不同的MIB。V3比较繁琐,推荐使用V1或V2c,网管规划设备侧的规划,Trap的规划Trap的使能。Trap需要发送给的主机IP地址(即网管工作站的IP地址)Trap发送时的源地址(该设备的loopback地址)SNMP的规划SNMP的使能明确本网络需要使用的SNMP的版本。只配置本网络规划需要使用的版本,尽量不要配置为version all。v1、v2c配置团体字、v3配置用户、组、访问视图。团体字的命名需要遵循以下原则:不要简单的使用public和private,但也无需将其配置的与密码一样复杂;尽量具备一定的实际含义即可。,
